【文章內(nèi)容簡介】 中可以重復使用。為了減少網(wǎng)絡帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報文。備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉[4]。 　　在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動具有最高優(yōu)先級：255。優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時使用?？膳渲玫膬?yōu)先級范圍為1—254。優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會剝奪當前低優(yōu)先級的主控路由器而成為新的主控路由器。 　　為了保證VRRP協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證。明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼。適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡監(jiān)聽方式獲得密碼。IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。 靜態(tài)路由技術及規(guī)劃 靜態(tài)路由一般是由管理員手工設置的路由，而動態(tài)路由則是路由器中的動態(tài)路由協(xié)議根據(jù)網(wǎng)絡拓撲情況和特定的要求自動生成的路由條目。 什么樣的路由器要使用什么樣的路由協(xié)議，是由網(wǎng)絡的管理策略直接決定的。一般中小型的網(wǎng)絡，網(wǎng)絡拓撲比較簡單，不存在線路冗余等因素，所以通常采用靜態(tài)路由的方式來配置。但是大型網(wǎng)絡網(wǎng)絡拓撲復雜，路由器數(shù)量大，線路冗余多，管理人員相對較少，要求管理效率要高等原因，通常都會使用動態(tài)路由協(xié)議，適當?shù)妮o以靜態(tài)路由的方式。 靜態(tài)路由基本上都是人為配置的路由，或由人為的相關設置自動生成的，如你配置了IP地址就會產(chǎn)生一個直連路由[5]。 一般的靜態(tài)路由設置經(jīng)過保存后重起路由器都不會消失，但相應端口關閉或失效時就會有相應的靜態(tài)路由消失。反而動態(tài)路由卻會消失，因為動態(tài)路由要在動態(tài)路由協(xié)議正常運行的前提下才能產(chǎn)生的。 ARP技術及規(guī)劃 在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信流量使網(wǎng)絡阻塞[6]。 ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡中實際傳輸?shù)氖恰皫保瑤锩媸怯心繕酥鳈C的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。 每臺安裝有TCP/IP協(xié)議的電腦里都有一個ARP緩存表，表里的IP地址與MAC地址是一一對應的，如下所示： A aaaaaaaaaaaa B bbbbbbbbbbbb C cccccccccccc D dddddddddddd 我們以主機A（）向主機B（）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標MAC地址，直接把目標MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表中沒有找到相對應的IP地址，主機A就會在網(wǎng)絡上發(fā)送一個廣播，目標MAC地址是“”，這表示向同一網(wǎng)段內(nèi)的所有主機發(fā)出這樣的詢問：“ ？”網(wǎng)絡上其他主機并不響應ARP詢問，只有主機B接收到這個幀時，才向主機A做出這樣的回應：“”。這樣，主機A就知道了主機B的MAC地址，它就可以向主機B發(fā)送信息了。同時它還更新了自己的ARP緩存表，下次再向主機B發(fā)送信息時，直接從ARP緩存表里查找就可以了。ARP緩存表采用了老化機制，在一段時間內(nèi)如果表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢速度。 從上面可以看出，ARP協(xié)議的基礎就是信任局域網(wǎng)內(nèi)所有的人，那么就很容易實現(xiàn)在以太網(wǎng)上的ARP欺騙。對目標A進行欺騙，A去Ping主機C卻發(fā)送到了DDDDDDDDDDDD這個地址上。如果進行欺騙的時候，把C的MAC地址騙為DDDDDDDDDDDD，于是A發(fā)送到C上的數(shù)據(jù)包都變成發(fā)送給D的了。這正好是D能夠接收到A發(fā)送的數(shù)據(jù)包了么，嗅探成功。 A對這個變化一點都沒有意識到，但是接下來的事情就讓A產(chǎn)生了懷疑。因為A和C連接不上了。D對接收到A發(fā)送給C的數(shù)據(jù)包可沒有轉(zhuǎn)交給C。 做“man in the middle”，進行ARP重定向。打開D的IP轉(zhuǎn)發(fā)功能，A發(fā)送過來的數(shù)據(jù)包，轉(zhuǎn)發(fā)給C，好比一個路由器一樣。不過，假如D發(fā)送ICMP重定向的話就中斷了整個計劃。 D直接進行整個包的修改轉(zhuǎn)發(fā)，捕獲到A發(fā)送給C的數(shù)據(jù)包，全部進行修改后再轉(zhuǎn)發(fā)給C，而C接收到的數(shù)據(jù)包完全認為是從A發(fā)送來的。不過，C發(fā)送的數(shù)據(jù)包又直接傳遞給A，倘若再次進行對C的ARP欺騙?，F(xiàn)在D就完全成為A與C的中間橋梁了，對于A和C之間的通訊就可以了如指掌了。 NAT技術及規(guī)劃 隨著Internet的發(fā)展和網(wǎng)絡應用的增多，IPv4地址枯竭已成為制約網(wǎng)絡發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網(wǎng)絡設備和網(wǎng)絡應用大多是基于IPv4的，因此在IPv6廣泛應用之前，一些過渡技術（如CIDR、私網(wǎng)地址等）的使用是解決這個問題最主要的技術手段[7]。 其中，使用私網(wǎng)地址之所以能夠節(jié)省IPv4地址，主要是利用了這樣一個事實：一個局域網(wǎng)中在一定時間內(nèi)只有很少的主機需訪問外部網(wǎng)絡，而80%左右的流量只局限于局域網(wǎng)內(nèi)部。由于局域網(wǎng)內(nèi)部的互訪可通過私網(wǎng)地址實現(xiàn)，且私網(wǎng)地址在不同局域網(wǎng)內(nèi)可被重復利用，因此私網(wǎng)地址的使用有效緩解了IPv4地址不足的問題。當局域網(wǎng)內(nèi)的主機要訪問外部網(wǎng)絡時，只需通過NAT技術將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址即可，這樣既可保證網(wǎng)絡互通，又節(jié)省了公網(wǎng)地址。 作為一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。它具備以下優(yōu)點：l 對于內(nèi)部通訊可以利用私網(wǎng)地址，如果需要與外部通訊或訪問外部資源，則可通過將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)地址來實現(xiàn)。l 通過公網(wǎng)地址與端口的結(jié)合，可使多個私網(wǎng)用戶共用一個公網(wǎng)地址。l 通過靜態(tài)映射，不同的內(nèi)部服務器可以映射到同一個公網(wǎng)地址。外部用戶可通過公網(wǎng)地址和端口訪問不同的內(nèi)部服務器，同時還隱藏了內(nèi)部服務器的真實IP地址，從而防止外部對內(nèi)部服務器乃至內(nèi)部網(wǎng)絡的攻擊行為。l 方便網(wǎng)絡管理，如通過改變映射表就可實現(xiàn)私網(wǎng)服務器的遷移，內(nèi)部網(wǎng)絡的改變也很容易。 NAT的基本原理是僅在私網(wǎng)主機需要訪問Internet時才會分配到合法的公網(wǎng)地址，而在內(nèi)部互聯(lián)時則使用私網(wǎng)地址。當訪問Internet的報文經(jīng)過NAT網(wǎng)關時，NAT網(wǎng)關會用一個合法的公網(wǎng)地址替換原報文中的源IP地址，并對這種轉(zhuǎn)換進行記錄；之后，當報文從Internet側(cè)返回時，NAT網(wǎng)關查找原有的記錄，將報文的目的地址再替換回原來的私網(wǎng)地址，并送回發(fā)出請求的主機。這樣，在私網(wǎng)側(cè)或公網(wǎng)側(cè)設備看來，這個過程與普通的網(wǎng)絡訪問并沒有任何的區(qū)別。 ACL技術及規(guī)劃 ACL技術在路由器中被廣泛采用，它是一種基于包過濾的流控制技術。標準訪問控制列表通過把源地址、目的地址及端口號作為數(shù)據(jù)包檢查的基本元素，并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過。ACL通常應用在企業(yè)的出口控制上，可以通過實施ACL，可以有效的部署企業(yè)網(wǎng)絡出網(wǎng)策略。隨著局域網(wǎng)內(nèi)部網(wǎng)絡資源的增加，一些企業(yè)已經(jīng)開始使用ACL來控制對局域網(wǎng)內(nèi)部資源的訪問能力，進而來保障這些資源的安全性。 ACL技術可以有效的在三層上控制網(wǎng)絡用戶對網(wǎng)絡資源的訪問，它可以具體到兩臺網(wǎng)絡設備間的網(wǎng)絡應用，也可以按照網(wǎng)段進行大范圍的訪問控制管理，為網(wǎng)絡應用提供了一個有效的安全手段[8]。一方面，采用ACL技術，網(wǎng)絡管理員需要明確每一臺主機及工作站所在的IP子網(wǎng)并確認它們之間的訪問關系，適用于網(wǎng)絡終端數(shù)量有限的網(wǎng)絡。對于大型網(wǎng)絡，為了完成某些訪問控制甚至不得不浪費很多的IP地址資源。同時，巨大的網(wǎng)絡終端數(shù)量，同樣會增加管理的復雜度和難度。另一方面，維護ACL不僅耗時，而且在較大程度上增加路由器開銷。訪問控制列表的策略性非常強，并且牽涉到網(wǎng)絡的整體規(guī)劃，它的使用對于策略制定及網(wǎng)絡規(guī)劃的人員的技術素質(zhì)要求比較高。因此，是否采用ACL技術及在多大的程度上利用它，是管理效益與網(wǎng)絡安全之間的一個權衡。 訪問控制列表從概念上來講并不復雜，復雜的是對它的配置和使用，許多初學者往往在使用訪問控制列表時出現(xiàn)錯誤。下面是對幾種訪問控制列表的簡要總結(jié)。l 標準IP訪問控制列表： 一個標準IP訪問控制列表匹配IP包中的源地址或源地址中的一部分，可對匹配的包采取拒絕或允許兩個操作。編號范圍是從1到99的訪問控制列表是標準IP訪問控制列表。l 擴展IP訪問控制列表：擴展IP訪問控制列表比標準IP訪問控制列表具有更多的匹配項，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。編號范圍是從100到199的訪問控制列表是擴展IP訪問控制列表。l 命名的IP訪問控制列表：所謂命名的IP訪問控制列表是以列表名代替列表編號來定義IP訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式中相似。 l 標準IPX訪問控制列表：標準IPX訪問控制列表的編號范圍是800899，它檢查IPX源網(wǎng)絡號和目的網(wǎng)絡號，同樣可以檢查源地址和目的地址的節(jié)點號部分。 　　l 擴展IPX訪問控制列表： 擴展IPX訪問控制列表在標準IPX訪問控制列表的基礎上，增加了對IPX報頭中以下幾個字段的檢查，它們是協(xié)議類型、源Socket、目標Socket。擴展IPX訪問控制列表的編號范圍是900999。 　　命名的IPX訪問控制列表與命名的IP訪問控制列表一樣，命名的IPX訪問控制列表是使用列表名取代列表編號。從而方便定義和引用列表，同樣有標準和擴展之分。 SSL VPN技術及規(guī)劃SSLVPN、IPSecVPN、網(wǎng)絡安全VPN是一項非常實用的技術，它可以擴展企業(yè)的內(nèi)部網(wǎng)絡，近期，傳統(tǒng)的IPSecVPN出現(xiàn)了客戶端不易配置等問題，相對而言，SSLVPN作為一種全新的技術正在被廣泛關注，SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能，并與安全網(wǎng)關相結(jié)合，提供安全遠程訪問企業(yè)應用的機制，這樣，遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應用及其他核心資源[9]。SSLVPN是指應用層的VPN，基于HTTPS來訪問受保護的應用。目前常見的SSLVPN方案有兩種：直路方式和旁路方式。直路方式中，當客戶端需要訪問一應用服務器時，首先，客戶端和SSLVPN網(wǎng)關通過證書互相驗證雙方；其次，客戶端和SSLVPN網(wǎng)關之間建立SSL通道。然后，SSLVPN網(wǎng)關作為客戶端的代理和應用服務器之間建立TCP連接，在客戶端和應用服務器之間轉(zhuǎn)發(fā)數(shù)據(jù)。旁路方式與直路不同的是，為了減輕在進行SSL加解密時的運行負擔，也可以獨立出SSL加速設備，在SSLVPNServer接收到HTTPS請求時將SSL加密的過程交給SSL加速設備來處理，當SSL加速設備處理完之后再將數(shù)據(jù)轉(zhuǎn)發(fā)給SSLVPNServer。 保密性就是對抗對手的被動攻擊，保證不泄漏給未經(jīng)授權的人。由于使用的是SSL協(xié)議，該協(xié)議是介于HTTP層及TCP層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSLVPN通過設置不同級別的用戶，設置不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、Radius機制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證，各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡中的數(shù)據(jù)，就要能夠解開這些加密算法后的數(shù)據(jù)包。 完整性就是對抗對手主動攻擊，防止被未經(jīng)授權的篡改。由于SSLVPN一般在GATEWAY上或者在防火墻后面，把企業(yè)內(nèi)部需要被授權外部訪問的內(nèi)部應用注冊到SSLVPN上，這樣對于GATEWAY來講，需要開通443這樣的端口到SSLVPN即可，而不需要開通所有內(nèi)部的應用的端口，如果有黑客發(fā)起攻擊也只能到SSLVPN這里，攻擊不到內(nèi)部的實際應用。 可用性就是保證及系統(tǒng)確實為授權使用者所用。前面已經(jīng)提到，對于SSLVPN要保護的后臺應用，可以為其設置不同的級別，只有相應級別的用戶才可以訪問到其對應級別的資源，從而保證了的可用性。 可控性就是對及系統(tǒng)實施安全監(jiān)控。SSLVPN作為一個安全的訪問連接建立工具，所有的訪問都要經(jīng)過這個網(wǎng)關，所以記錄日志對于網(wǎng)關來說非常重要。不僅要記錄日志，還要提供完善的超強的日志分析能力，才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊，從而對系統(tǒng)實施監(jiān)控。 客戶端的區(qū)別是SSLVPN最大的優(yōu)勢。瀏覽器內(nèi)嵌了SSL協(xié)議，所以預先安裝了Web瀏覽器的客戶機可以隨時作為SSLVPN的客戶端。這樣，使用零客戶端的SSLVPN遠程訪問的用戶可以為遠程員工、客戶、合作伙伴及供應商等，通過SSLVPN，客戶端可以在任何時間任何地點對應用資源進行訪問，也就是說是基于B/S結(jié)構的業(yè)務時，可以直接使用瀏覽器完成SSL的VPN建立；而IPSecVPN只允許已經(jīng)定義好的客戶端進行訪問，所以它更適用于企業(yè)內(nèi)部。 一般企業(yè)在Internet聯(lián)機入口，都是采取適當?shù)姆蓝緜蓽y措施。不論是IPSecVPN或S